指导性案例195号解读：验证码纳入公民个人信息范畴下的企业合规启示

来源: | 作者：由飘洋过海整理 | 发布时间：2025-10-07 | 304 次浏览： | 分享到:

本文解读最高法指导性案例 195 号，明确验证码属刑法意义上公民个人信息，出售达 “情节严重” 构成侵犯公民个人信息罪；还梳理案情、裁判结果，从信息识别、员工管理等四方面，为企业（含外企）提供数据合规启示。

在数字经济背景下，公民个人信息的保护与企业数据合规管理愈发紧密，最高人民法院发布的指导性案例195号（罗某某、瞿某某侵犯公民个人信息刑事附带民事公益诉讼案），明确了“验证码”的法律属性及相关行为的定罪逻辑，对企业尤其是涉及客户信息处理的行业，具有重要的参考价值。本文将结合案例核心内容，拆解法律要点，并梳理对企业合规管理的实践启示。

一、案例核心裁判要点：明确验证码的法律属性与行为定性

本案的核心价值在于清晰界定了“验证码”的法律地位，以及特定场景下出售公民个人信息行为的定罪标准，具体裁判要点如下：

（一）验证码属于刑法意义上的公民个人信息

服务提供者向特定手机号码发送的数字、字母单独或组合构成的验证码，具有“独特性”与“隐秘性”——既能单独对应特定自然人的手机号码，也可与手机号码结合识别自然人身份、反映其活动情况（如账号注册、身份验证等），符合《中华人民共和国刑法》第253条之一关于“公民个人信息”的定义，属于受刑法保护的公民个人信息范畴。

（二）特定场景下出售验证码的行为定性

行为人在提供服务过程中（如本案中电信营业厅服务、客户信息管理等）获取验证码及对应手机号码后，将其出售给他人，若达到“情节严重”标准（如获利数额、信息数量、危害范围等），即构成“侵犯公民个人信息罪”，而非仅属于民事侵权或行政违规。

二、基本案情梳理：行为链条与涉案情节

本案的行为主体涉及企业员工与组织者，行为链条围绕“非法获取-集中流转-出售获利”展开，具体情节可概括为以下三方面：

（一）行为发起与分工

2019年12月至2021年7月期间，被告人罗某某（原电信公司培训老师）发现通过获取他人手机号及验证码为平台“拉新”（注册淘宝、京东等APP新账号）可获利，遂与多名从事“拉新”的人员建立联系，并搭建微信群作为信息流转平台——群内明确“拉新”规则、价格，由罗某某管理维护；被告人瞿某某（中国移动营业厅销售员）及其他电信行业员工，利用职务便利获取客户的手机号码及对应验证码，发送至群内供“拉新”人员使用。

（二）获利与退缴情况

罗某某通过每条“拉新”信息获取0.2-2元报酬，累计获利1.3万元；瞿某某通过出售信息累计获利9266.5元。案发后，二人已全额退缴违法所得（瞿某某退缴9926.5元，罗某某退缴1.3万元），且均如实供述犯罪事实、自愿认罪认罚。

（三）公益诉讼主体适格性

株洲市渌口区人民检察院于2021年7月22日公告案件情况，公告期内无法律规定的机关或组织提起民事公益诉讼，故检察机关作为适格主体，提起刑事附带民事公益诉讼，主张二被告人承担民事责任（如公开赔礼道歉、删除涉案信息）。

三、裁判结果：刑事责任与民事责任的双重承担

湖南省株洲市渌口区人民法院于2021年11月30日作出判决，对二被告人的刑事责任、违法所得及作案工具作出明确处理，同时支持了公益诉讼请求：

（一）刑事责任认定

1.罗某某犯侵犯公民个人信息罪，判处有期徒刑八个月，并处罚金2万元；

2.瞿某某犯侵犯公民个人信息罪，判处有期徒刑六个月，并处罚金1.5万元。

（二）财产与工具处理

1.作案工具（OPPORENO手机1台、华为P30Pro手机1台）予以没收，依法处理；

2.二人违法所得（罗某某1.3万元、瞿某某9266.5元）予以没收，上缴国库。